隨著各國監管機構更加關注組織如何管理外包和應對第三方的風險，其監管要求日益嚴厲，對于違法違規行為除了行政追責還有越來越高的罰款。因此作為組織的管理者在開展IT風險治理的建設過程中，需要關注和建立對第三方有效的風險管控。

[[245244]]

一、前言

任何企業機構在開展生產經營活動的過程中，或多或少總是存在著和第三方機構/人員發生業務往來的相互過程。這些第三方有可能是營銷合作伙伴，有可能是IT技術廠商，也有可能是服務外包機構。有國外資料顯示，大的金融機構可能有超過50000個供應商列表[1]。隨著全球經濟這幾年來增長乏力，越來越多的組織為降低成本開支而傾向于將業務外包，這意味著組織將引入和面臨著更多的風險。其次，隨著各國監管機構更加關注組織如何管理外包和應對第三方的風險，其監管要求日益嚴厲，對于違法違規行為除了行政追責還有越來越高的罰款。因此作為組織的管理者在開展IT風險治理的建設過程中，需要關注和建立對第三方有效的風險管控。

二、第三方風險剖析

1. 什么是第三方風險和第三方風險管理

在了解第三方風險(Third Party Risk)的時候，我們需要首先了解第三方包含哪些范圍。實際上第三方包含的范圍比較廣，它包含了以下主要類別：

• 跟業務有關的產品或服務的供應商和生產商
• 商業伙伴(合資伙伴，商業聯盟等)
• 市場伙伴
• 營銷伙伴
• 戰略顧問
• 政府機構
• 監管機構
• 客戶

從以上可以看到，即第三方風險是一個涵義廣泛的概念，它包含、覆蓋和涉及了眾多的風險，例如供應鏈風險(supply chain risk)，供應商風險(vendor risk)、業務連續性風險(business continue risk)、營銷風險(marketing risk)等。而與之對應的第三方風險管理(Third Party Risk Management，簡稱TPRM)就是了解和理解第三方可能給機構組織本身帶來的正面或負面的影響，并采取積極主動和有效的措施應對可能的負面影響和潛在的風險損失。

2. 第三方風險分類

第三方風險總體上可以分為實體風險和服務風險。其中，實體風險包括因第三方本身在規模、資質、能力、聲譽以及經驗方面的不足和欠缺所帶來的風險。服務風險則主要指第三方在提供的產品以及提供的服務中因功能、性能、維護/升級、SLA、服務過程、交付物、政策許可等方面存在不滿足和不合規而帶來的風險。

具體的第三方風險包括如下：

圖：第三方風險組成

(1) 聲譽風險

因為第三方自身存在問題而帶來組織帶來聲譽上的連帶風險。2018年Cambridge Analytica數據分析公司的前職員曝光該公司利用Facebook的數據幫助特朗普在大選中獲勝，而Facebook早就知道這家公司非法利用了自己的用戶數據。此事的曝光導致Facebook公司的聲譽嚴重受損，民調顯示，只有44%的美國人相信Facebook遵守了美國的隱私法，而60%的德國人則擔心Facebook和其他社交網絡對西方民主所產生的負面影響[2]。

(2) 合規/法律風險

組織因為第三方違規或對其違規監管不力而遭受監管處罰或法律懲處的風險。例如美國衛星廣播服務提供商Dish Network因該公司的外包服務供應商向已經注冊不接受電話推銷的用戶撥打了超過5500萬次電話而在2017年被美國聯邦法院開出的2.8億美元的罰單[3]。又如我國的一些支付行業機構也因為外包服務管理不力而遭到處罰。2017年上海某公司湖南分公司遭人民銀行長沙中心支行罰款9萬元。這里面的處罰原因就有“收單外包業務管理不力”。2014年3月，某支付機構因“未落實商戶實名制;對外包服務商監管不力……”等原因被央行做出“全國范圍內停止接入新商戶”的處罰決定。

(3) 運行風險

第三方在服務工作過程中因設施質量或服務中未遵守規范，又或技能經驗不足而給組織帶來包括業務和信息安全方面的風險。例如，近年來國內外多家云服務商均出現過因設施問題或操作運維過程的不規范而導致云租戶的業務中停或數據丟失。

(4) 信息安全風險

由于第三方的安全管理不到位而給組織帶來數據泄露、財產損失等風險。此外第三方機構或個人的惡意行為也是造成組織發生信息安全風險的因素之一。2017年，黑客突破了第三方供應商的亞馬遜帳號，利用暗黑網站竊取的憑據來偽造交易并盜取現金[4]。而美國折扣經紀公司Scottrade在同年3月證實，因第三方數據保管不善發生數據泄露，從而暴露了其約20000客戶的非公開信息[5]。

(5) 經濟損失風險

因第三方產品/服務質量問題以及第三方財務經營問題而給組織帶來的投資損失。此外還包括因第三方違規而導致的業務中斷損失、數據泄露損失以及相應的連帶風險損失。以前面Facebook的案例為例，2018年的二季度統計Facebook股價跌幅約24%，8月統計其市值蒸發超1千億美元，不僅活躍用戶數降低，而且也有合作伙伴不再續約。據路透社8月8日報道，意大利裕信銀行表示其將停止在Facebook繼續投放廣告，并會在Facebook提升它的“道德標準”之前暫停在該平臺上的一切營銷活動。

(6) 商業環境風險

因組織或第三方所在國的政策變動而引發帶來的業務連續性風險損失。例如，今年中美貿易戰給中美兩國的企業在選擇和保持第三方關系的時候帶了巨大困擾，不少企業都不得不重新審慎評估當前和未來在供應鏈、市場營銷等第三方關系上存在的風險。

3. 第三方風險管理現狀

國內外的監管機構很早就觀察和留意到第三方供應/服務給組織帶來風險，并根據此情況發布了相應的合規要求。就金融行業而言，舉例來說，我國銀監會在2013年發布了《銀行業金融機構信息科技外包風險監管指引》，2014年發布了《加強銀行業金融機構信息科技非駐場集中式外包風險管理的通知》。在美國，美聯儲下屬的銀行監督管理部，消費者與社會事務部以及美國聯邦儲備理事會在2013年12月聯合發布了旨在指導美國的國家成員、其他銀行、儲蓄和貸款控股公司 (包括其銀行子公司) 以及在美國開展業務的外國銀行機構如何開展外包風險管理的指南[6]。此外，美國通貨監理局(Office of the Comptroller of the Currency，OCC)在2013年發布了題為“第三方關系:風險管理指南”( Third-Party Relationships: Risk Management Guidance)并在2017年進行了更新。可以看到第三方風險管理早不是新的安全管理范疇，但盡管如此，從Ponemon研究機構2017年9月發布了《Data Risk in the Third-Party Ecosystem Second Annual Study》報告[7]中看到，受調查對象中第三方風險管理的情況仍不是太樂觀。該報告的主要發現如下：

• 第三方合規管理程序有效性依舊較低
• 只有17%的受訪者評價自己的公司能有效減輕第三方風險;
• 60%的受訪者認為目前還沒有準備好對他們的第三方進行檢查或驗證;
• 管理層的職責性和參與性略有增加
• 42%的受訪者強烈認同或同意公司董事會需要保證對第三方的風險進行評估，管理和監控;
• 只有三分之一的受訪者反饋其內部人員會定期向董事會就第三方管理程序的有效性及對組織潛在的風險進行匯報;
• 缺乏對第三方的可見性
• 半數以上的受訪者沒有對與他們共享敏感信息的第三方進行全面地清查;
• 13%的受訪者表示他們不能確定是否發生過第三方數據泄露;
• 現有的管理措施存在不足
• 57%的受訪者表示他們組織沒有能力評估供應商的安全措施和策略是否滿足數據防泄漏要求;
• 超過一半的受訪者表示在開展業務和共享敏感或機密信息前他們沒有評估過所有供應商的安全和隱私保護能力;

除了報告提及的內容之外，還有一些問題也導致組織的第三方風險管理存在潛在風險，這些問題包括[1]

• 在沒有評估第三方風險管理實踐充分性和合規性的情況下簽訂合同;
• 未在合同中寫入并激勵第三方承擔對組織或其客戶的惡意風險，也未能使第三方的收入在***化的同時實現雙贏;
• 在沒有合同的情況下開展和從事非正式的第三方關系;

三、第三方風險管理應對

1. 第三方風險管理流程及內容

第三方風險管理的流程仍然遵循著風險管理生命周期的理念，因此第三方風險管理可以從常規的風險管理生命周期演進變化而來。從這個角度出發，我們可以將第三方風險管理流程分為以下六個關鍵階段：

• 合規和戰略
• 審視合規要求，計劃和明確組織的TPRM戰略，包括如何選擇、評估和監管第三方;
• 建立TPRM程序與流程并確保程序執行的統一性和唯一性;
• 需求定義與風險評估
• 評估第三方需求的必要性;
• 貫徹盡職調查和第三方采購/合作風險評估;
• 評估第三方的價值提供及風險概況;
• 決定是否選擇新的第三方以及是否對現有合作第三方的關系重新進行定義(升級、降級或終止);
• 第三方選擇、采購以及盡職調查
• 執行市場和集中風險分析;
• 梳理需求場景并據此對第三方進行歸類;
• 根據組織安全策略和合規監管的要求，要求第三方完成指定的安全自評估;
• 對選定第三方進行評估和風險分析;
• 合同簽署
• 合同內容除了產品/服務內容，還包含第三方管理協議(Third-Party Management Agreements，TPMA)也稱業務關聯協議(Business Associate Agreements, BAA)[8]
• BAA內容覆蓋關鍵的合規和法律要求，以及對隱私信息、知識產權等的保護要求;
• BAA內容涵蓋明確的KPI考核，SLA要求，以及應急和修復的要求;
• 用第三方所在國的官方語言編寫合同副本，確保第三方對合同內容的正確理解和認可;
• 持續監控與報告
• 開展對第三方的培訓以確保其知曉并遵循合規要求和組織安全策略要求;
• 對第三方的市場經營、財務狀況、對應產品研發情況等進行監控;
• 確立風險基線和觸發上報機制;
• 對第三方合作過程和成果質量進行監控、評估和報告，以評估與其關系的維系和級別升降;
• 建立當雙方發生爭議或問題時的解決程序(包括觸發機制、溝通機制、糾正程序、跟蹤關閉程序);
• 回顧與終止
• 定期或適時對TPRM策略和程序進行回顧和修訂;
• 建立與第三方的合作終止程序;
• 執行第三方終止風險評估和變更風險評估;

2. 第三方風險管理評估的checklist

在踐行第三方風險管理的時候，組織可以通過設定一個checklist表格或問卷來幫助充分了解和評估組織在第三方風險管理方面的現狀和問題。Checklist的調查內容通常包括如下：

• 當前的建設發展和運行階段需要怎樣的第三方進行參與和合作?
• 是否已建立TPRM程序?
• 是否已建立第三方列表和資料庫?
• 是否已了解第三方的市場經營、財務狀況、服務能力、研發能力以及市場聲譽等背景情況?
• 第三方是否經歷過安全事件、事件嚴重程度如何、其響應速度和處置效果如何?
• 第三方是否清晰知曉組織的安全管理策略與要求?
• 第三方是否清晰知曉相應的合規監管要求?
• 第三方是否建立自有的安全策略和安全程序?
• 第三方的安全管理是否滿足合規以及內部的要求?
• 第三方是否擁有并提供充足的受到良好訓練的人員?
• 第三方提供的產品/服務的價值如何，是否滿足要求?
• 是否了解哪些敏感信息因為和第三方合作而可能被訪問和使用?
• 是否對第三方的接入提供可控的物理和網絡接入環境?
• 是否有充足的技術措施以控制第三方對敏感信息的訪問、使用?
• 是否具備有效的監督管理機制和技術監控措施實現對第三方的持續監控管理?
• 對第三方的審計評估是否由獨立的審計部門完成?
• 合同中是否涵蓋了信息安全要求、SLA要求、KPI考核、風險和法律承擔義務等要求?
• 合同的簽署是否得到了內部使用部門、安全部門和法務部門的審核和確認?

四、結束語

隨著現代社會的分工日益細化和專業化以及成本節約的考慮，企業機構將會和越來越多的第三方產生商業往來。企業機構與第三方的商務關系不僅體現在雙方的共贏，也體現在風險的共擔。因此做好第三方風險管理不僅有利于提升己方對風險的風控能力，保障商業合作的順利進行，同時也能夠更好的促進和實現雙贏。

參考文獻

• https://www.protiviti.com/sites/default/files/fsi-vendor-management-whitepaper-protiviti_1.pdf
• https://www.reuters.com/article/us-facebook-cambridge-analytica-apology/americans-less-likely-to-trust-facebook-than-rivals-on-personal-data-idUSKBN1H10AF
• https://www.landiannews.com/archives/36389.html
• https://www.scmagazine.com/hackers-compromise-third-party-vendor-amazon-accounts/article/649665/
• https://www.tripwire.com/state-of-security/latest-security-news/scottrade-confirms-third-party-data-breach-exposed-20000-customers-private-data/
• Guidance on Managing Outsourcing Risk, Board of Governors of the Federal Reserve System, December 5, 2013:
• Http://federalreserve.gov/bankinforeg/srletters/sr1319a1.pdf
• https://www.opus.com/resource/data-risk-third-party-ecosystem-2nd-annual-study-ponemon-institute/
• https://searchsecurity.techtarget.com/feature/Third-party-risk-management-Horror-stories-You-are-not-alone

【本文是51CTO專欄作者“綠盟科技博客”的原創稿件，轉載請通過51CTO聯系原作者獲取授權】

戳這里，看該作者更多好文